Che cos'è CloudWatch Logs Data Sources?Come iniziare Campi di sistema Accesso alle origini dati Relazione con i gruppi di log

Individuazione e gestione delle fonti di dati

CloudWatch Logs rileva e classifica automaticamente i dati di registro in base alla fonte e al tipo di dati, semplificando la comprensione e la gestione dei log su larga scala. Questa funzionalità consente l'individuazione dello schema per sorgenti AWS vendute come Amazon VPC Flow Logs e Route 53 CloudTrail, oltre a strumenti di sicurezza di terze parti.

La console di gestione dei log offre una visualizzazione di alto livello dei log organizzati per origine e tipo di dati, anziché solo per gruppi di log. Questa organizzazione ti aiuta a:

Visualizza i log classificati per AWS servizi, fonti di terze parti (come Okta o CrowdStrike) e fonti personalizzate
Comprendi automaticamente lo schema e la struttura dei tuoi dati di registro
Crea politiche di indicizzazione dei campi basate sui campi dello schema rilevati
Gestisci i log in modo più efficiente su diverse fonti di dati
Interroga i log con diverse fonti di dati

Quando abiliti la registrazione CloudWatch dei log per i AWS servizi supportati, CloudWatch Logs applica automaticamente lo schema appropriato ai tuoi log. Questa applicazione automatica dello schema aiuta a mantenere la coerenza e fornisce informazioni immediate sulla struttura dei log.

Che cos'è CloudWatch Logs Data Sources?

CloudWatch Logs Data Sources è una funzionalità che offre un nuovo modo di organizzare e classificare i dati dei log in base alla fonte che li genera. Sebbene CloudWatch Logs utilizzi tradizionalmente gruppi di log per organizzare i log, Data Sources offre un ulteriore livello di organizzazione che raggruppa i log in base al servizio e al tipo di registro di origine.

Come funzionano le fonti di dati

Le fonti di dati forniscono un'organizzazione dei log basata sui servizi e un'individuazione semplificata in tutta l'infrastruttura. AWS È possibile individuare facilmente i log di servizi specifici e filtrarli per tipo di registro senza dover conoscere i nomi o le strutture dei singoli gruppi di log.

Per le fonti di terze parti e, facoltativamente, per le fonti dei log delle applicazioni, Data Sources utilizza le CloudWatch pipeline per classificare i log. Quando configuri una pipeline per importare e trasformare i log, specifichi il nome e il tipo dell'origine dati. CloudWatch Logs classifica quindi automaticamente tutti i log elaborati dalla pipeline. Per ulteriori informazioni, consulta le CloudWatch pipeline nella Amazon CloudWatch User Guide.

Le fonti di dati classificano i log utilizzando due identificatori chiave:

Nome origine dati: il AWS servizio, l'origine di terze parti o l'applicazione che genera i log (ad esempio, Route 53, Amazon VPC CloudTrail, Okta SSO o Falcon). CrowdStrike
Tipo di origine dati: il tipo specifico di log generato da quel servizio.

Uno schema definisce la struttura dei dati di registro, inclusi i campi presenti e l'organizzazione delle informazioni. Un'unica fonte di dati può produrre più tipi di log con schemi e scopi diversi. Ad esempio, l'origine AWS CloudTrail dati ha due tipi: eventi di gestione (che tengono traccia delle operazioni del piano di controllo come la creazione o l'eliminazione di risorse) ed eventi di dati (che tengono traccia delle operazioni del piano dati come l'accesso agli oggetti S3). Ogni tipo ha uno schema diverso perché acquisiscono diversi tipi di informazioni.

Come iniziare

CloudWatch Logs classifica i log in fonti di dati in base alla loro origine. Il metodo dipende dal tipo di log con cui stai lavorando:

Servizio AWS registri

I log di Supported Servizi AWS vengono raggruppati automaticamente per origine dati senza che sia richiesta alcuna configurazione. CloudWatch Logs riconosce questi registri e applica il nome e il tipo di origine dati appropriati in base al servizio di origine.

Log di terze parti

I log di terze parti richiedono pipeline per la categorizzazione delle fonti di dati. Quando configuri una pipeline per importare log da fonti di terze parti supportate come Microsoft Office 365, Okta o Palo Alto Networks CrowdStrike, specifichi il nome e il tipo dell'origine dati nella configurazione della pipeline. CloudWatch Logs classifica automaticamente tutti i log che la pipeline elabora utilizzando tali identificatori.

Le pipeline possono facoltativamente trasformare i log di terze parti in formato Open Cybersecurity Schema Framework (OCSF) per l'analisi standardizzata degli eventi di sicurezza. Quando la trasformazione OCSF è abilitata, il nome e il tipo dell'origine dati vengono determinati automaticamente in base alla mappatura dello schema OCSF. Senza la trasformazione OCSF, è possibile specificare il nome e il tipo dell'origine dati nella configurazione della pipeline.

Log di applicazioni

Per i registri delle applicazioni personalizzati, è possibile classificarli in base all'origine dati utilizzando uno di questi metodi:

Tag del gruppo di log: aggiungi tag ai tuoi gruppi di log utilizzando le chiavi cw:datasource:name e cw:datasource:type specificando rispettivamente il nome e il tipo dell'origine dati per tutti i log inseriti nel gruppo di log. I valori dei tag possono contenere fino a 64 caratteri e contenere solo lettere minuscole, numeri e caratteri di sottolineatura. Devono iniziare con una lettera o un numero e non possono contenere caratteri di sottolineatura doppi (__).
Configurazione della pipeline: configura le informazioni sull'origine dei dati tramite pipeline di elaborazione dei log durante l'acquisizione dei log delle applicazioni.

Nota

I nomi delle fonti di dati non possono iniziare con «aws» o «amazon» per evitare conflitti con i log di servizio. AWS

Campi di sistema

CloudWatch I registri aggiungono automaticamente tre campi di sistema ai registri classificati in base all'origine dati. Questi campi fungono da sfaccettature predefinite:

@data_source_name- Contiene il nome della fonte di dati o «Sconosciuto» se non è specificato
@data_source_type- Contiene il tipo di fonte dei dati o «Sconosciuto» se non è specificato
@data_format- Indica il formato dei dati di registro

Quando non è possibile determinare il nome o il tipo dell'origine dati, questi campi sono impostati su «Sconosciuto». Le fonti di dati con valori «Sconosciuti» sono ancora visibili nei facet e nella tabella delle fonti di dati in «Gestione dei log» in Console, e consentono di identificare i log non categorizzati e da quale gruppo di log provengono.

Il @data_format campo può contenere uno dei seguenti valori:

Default- Registri ingeriti senza modifiche.
Custom- Registri elaborati tramite processori di pipeline o registri inseriti in gruppi di log con tag di origine dati. name/type
OCSF-<version>- Registri elaborati con processori OCSF (Open Cybersecurity Schema Framework) nelle pipeline.
AWS-OTEL-LOG-V<version>- OpenTelemetry registri importati tramite l'endpoint OTLP. CloudWatch
AWS-OTEL-TRACE-V<version>- OpenTelemetry tracce ingerite tramite l'endpoint OTLP. CloudWatch

Questi campi di sistema consentono di filtrare e interrogare i log in base alla fonte e al formato, semplificando l'utilizzo di log di origini e pipeline di elaborazione diverse.

Accesso alle origini dati

Console

Nella console CloudWatch Logs, utilizzi la scheda Log Management per accedere alle tue fonti di dati. CloudWatch Logs consolida automaticamente i dati di registro in base alle fonti e ai tipi di dati, scoprendo continuamente i nuovi dati acquisiti. Dall'elenco delle fonti di dati, puoi creare pipeline, definire indici e sfaccettature di campo.

AWS CLI

Usa il seguente comando per elencare fonti di dati e tipi di log distinti nel tuo account:


aws logs list-aggregate-log-group-summaries --group-by DATA_SOURCE_NAME_AND_TYPE

Relazione con i gruppi di log

Le fonti di dati integrano anziché sostituire i gruppi di log. I log continuano a essere archiviati in gruppi di log come in precedenza, ma ora vengono anche contrassegnati automaticamente con le informazioni sulla fonte dei dati. Questa doppia organizzazione ti consente di:

Utilizza i gruppi di log per politiche granulari di controllo e conservazione degli accessi
Utilizza fonti di dati per l'individuazione e l'analisi dei log basate sui servizi
Interroga i log utilizzando entrambi i metodi organizzativi, a seconda delle esigenze

Le fonti di dati semplificano l'utilizzo dei log su larga scala fornendo una visualizzazione incentrata sui servizi dei dati di registro in tutta l'infrastruttura. AWS

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Gestione dei registri

Funzionalità abilitate dalle fonti di dati